View a markdown version of this page

Microsoft Teams integration - Amazon Quick
[開始する前に]Microsoft Entra の設定Amazon Quick でのコネクタのセットアップ使用可能なアクションの管理とトラブルシューティングMicrosoft 365 に対する管理者の同意

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Microsoft Teams integration

Microsoft Teams アクションコネクタを使用して、メッセージの送信、チャネルの管理、会議のスケジュール、自然言語による Amazon Quick でのチームコラボレーションの管理を直接行うことができます。

Amazon Quick は、Microsoft Teams の複数の認証方法をサポートしています。組織のセキュリティ要件に最適な方法を選択します。

  • デフォルトの OAuth アプリケーション – AWSが管理する OAuth アプリケーションを使用します。追加の認証情報は必要ありません。ユーザーは Microsoft アカウントで直接認証されます。

  • カスタム OAuth アプリ – Microsoft Entra に登録されたカスタマー管理アプリケーションを使用します。このオプションを使用すると、組織は OAuth 設定を完全に制御できます。ユーザーは、サインインユーザー (委任されたアクセス許可) に代わって認証します。

  • Service-to-Service OAuth – ユーザーとのやり取り (アプリケーションのアクセス許可) なしでserver-to-server認証にクライアント認証情報を使用します。自動ワークフローに適しています。

Amazon Quick がサポートする認証方法の詳細については、「」を参照してください認証方法

[開始する前に]

統合を設定する前に、以下があることを確認してください。

  • Teams アクセスを持つ Microsoft 365 アカウント。

  • カスタム OAuth アプリまたは Service-to-Service OAuth の場合: 少なくとも Application Developer のアクセス許可を持つ Microsoft ウェブサイトの Microsoft Entra 管理センターにアクセスします。

  • サブスクリプションの要件については、「」を参照してくださいコンソールで統合を設定する

Microsoft Entra の設定

デフォルトの OAuth アプリ認証を使用している場合は、このセクションをスキップして に進みますAmazon Quick でのコネクタのセットアップ

Amazon Quick を設定する前に、Microsoft Entra でアプリ登録を作成します。Amazon Quick コンソールに移動する前に、Entra で次の手順をすべて実行します。

アプリ登録の詳細については、Microsoft ドキュメントの「Microsoft ID プラットフォームでアプリケーションを登録する」を参照してください。

アプリケーションを登録する

  1. Microsoft Entra 管理センターを開きます。

  2. 左側のナビゲーションで、Entra ID を選択し、App registrations を選択します。

  3. [New registration] (新規登録) を選択します。

  4. Name に、統合のわかりやすい名前を入力します。

  5. サポートされるアカウントタイプでは、この組織ディレクトリのアカウントのみを選択します。

  6. リダイレクト URI でウェブ を選択し、 と入力しますhttps://{region}.quicksight.aws.amazon.com/sn/oauthcallback{region} を Amazon Quick インスタンスがデプロイされている AWS リージョンに置き換えます。

  7. [登録] を選択します。

  8. 概要ページで、アプリケーション (クライアント) IDディレクトリ (テナント) ID をコピーします。Amazon Quick 設定には、これらの値が必要です。

クライアントシークレットを作成する

Amazon Quick では、Microsoft Entra で認証するためにクライアントシークレットが必要です。このシークレットは、アプリ登録のパスワードとして機能します。

  1. アプリの登録から、証明書とシークレットを選択します。

  2. 新しいクライアントシークレットを選択します。

  3. 説明を入力し、有効期限を選択します。

  4. [Add] (追加) を選択します。

  5. 値をすぐにコピーします。この値は 1 回のみ表示されます。

重要

シークレット ID ではなくシークレットをコピーします。値は、認証に使用される長い文字列です。

API アクセス許可を設定する

Microsoft Graph は、この統合に 2 つのアクセス許可タイプをサポートしています。委任されたアクセス許可により、アプリはサインインユーザーに代わって動作できます。アプリケーションのアクセス許可により、アプリケーションはサインインユーザーなしで動作できます。詳細については、Microsoft ドキュメントの「Microsoft Graph アクセス許可の概要」を参照してください。

  1. アプリの登録から API アクセス許可を選択します。

  2. アクセス許可の追加を選択し、Microsoft Graph を選択します。

  3. 認証方法に基づいて委任されたアクセス許可またはアプリケーションのアクセス許可を選択し、以下の表からアクセス許可を追加します。

  4. アクセス許可を承認するには、[テナント名] の管理者同意を付与を選択します。

ユーザー認証 (委任されたアクセス許可) の場合:

Entra アプリ登録に委任されたアクセス許可として以下を追加します。アクセス許可の完全なリファレンスについては、Microsoft ドキュメントの「Microsoft Graph permissions reference」を参照してください。

Teams アクション統合 – 委任されたアクセス許可
アクセス許可 説明
Chat.ReadWrite アプリがサインインユーザーのチャットメッセージを読み書きできるようにします。
ChatMessage.Send サインインしたユーザーに代わってチャットメッセージを送信することをアプリに許可します。
Team.ReadBasic.All サインインしたユーザーに代わって、アプリがチームの名前と説明を読み取ることを許可します。
Channel.ReadBasic.All サインインしたユーザーに代わってアプリがチャネル名と説明を読み取ることを許可します。
Channel.Create アプリがサインインユーザーに代わって任意のチームにチャネルを作成できるようにします。
ChannelMessage.Read.All アプリがサインインユーザーに代わってすべてのチャネルメッセージを読み取ることを許可します。
ChannelMessage.Send サインインしたユーザーに代わってアプリがチャネルでメッセージを送信できるようにします。
ChannelMember.ReadWrite.All サインインしたユーザーに代わって、アプリがチャネルからメンバーを追加および削除できるようにします。
TeamMember.ReadWrite.All サインインしたユーザーに代わって、アプリがすべてのチームのメンバーを追加および削除できるようにします。
User.Read.All サインインしたユーザーに代わって、アプリがすべてのユーザーのプロファイルプロパティの完全なセットを読み取ることを許可します。
OnlineMeetings.ReadWrite サインインしたユーザーに代わってアプリがオンライン会議を読み取って作成できるようにします。
OnlineMeetingTranscript.Read.All サインインしたユーザーに代わって、アプリがオンライン会議のすべてのトランスクリプトを読み取ることを許可します。
Calendars.ReadWrite サインインしたユーザーに代わって、アプリがユーザーカレンダーでイベントを読み書きできるようにします。
offline_access ユーザーが再度サインインしなくても、アプリケーションがアクセストークンを更新できるようにします。これにより、ユーザーが再認証する必要がある頻度が減ります。

サービス認証 (アプリケーションのアクセス許可) の場合:

Entra アプリ登録にアプリケーションアクセス許可として以下を追加します。

Teams アクション統合 – アプリケーションのアクセス許可
アクセス許可 説明
Chat.Read.All サインインしたユーザーなしで、アプリが組織内のすべてのチャットメッセージを読み取ることを許可します。
Chat.Send サインインしたユーザーなしでチャットメッセージを送信することをアプリに許可します。
Team.ReadBasic.All サインインしたユーザーなしで、アプリがすべてのチームの名前と説明を読み取ることを許可します。
Channel.ReadBasic.All サインインしたユーザーなしで、アプリがすべてのチャネル名と説明を読み取ることを許可します。
ChannelMessage.Read.All アプリがサインインユーザーなしですべてのチャネルメッセージを読み取ることを許可します。
ChannelMessage.Send サインインしたユーザーなしで任意のチャネルにメッセージを送信することをアプリに許可します。
ChannelMember.ReadWrite.All サインインしたユーザーなしで、アプリがすべてのチャネルのメンバーを追加および削除できるようにします。
TeamMember.ReadWrite.All サインインユーザーなしで、アプリがすべてのチームのメンバーを追加および削除できるようにします。
User.Read.All サインインしたユーザーなしで、アプリがすべてのユーザーのプロファイルプロパティの完全なセットを読み取ることを許可します。
OnlineMeetingTranscript.Read.All アプリがサインインユーザーなしでオンライン会議のすべてのトランスクリプトを読み取ることを許可します。
重要

サービス認証では、すべてのアクションがサービスアカウントとして実行されます。この統合にアクセスできるユーザーは、サービスアカウントがアクセスできるすべてのチームおよびチャネルでアクションを実行できます。組織のセキュリティ要件に応じて、アプリケーションのアクセス許可の範囲を適切に設定します。

認証情報を記録する

Microsoft Entra 管理センターを離れる前に、次の値があることを確認してください。Amazon Quick 設定にはこれらが必要です。

Microsoft Entra から必要な認証情報
検索先
アプリケーション (クライアント) ID アプリ登録の概要ページ
ディレクトリ (テナント) ID アプリ登録の概要ページ
クライアントシークレット値 証明書とシークレットページ

Amazon Quick でのコネクタのセットアップ

使用可能なタブから接続する

デフォルトの OAuth アプリ認証を使用する場合は、追加設定なしで Available タブから直接接続できます。

  1. Amazon Quick コンソールで、コネクタを選択します。

  2. 使用可能タブで、MSTeams を検索し、接続を選択します。

  3. Microsoft サインインフローを完了し、リクエストされたアクセス許可を付与します。

代わりにカスタム OAuth アプリまたは Service-to-Service OAuth を使用してコネクタを設定するには、以下で説明するようにチーム用に作成タブを使用します。

チームの作成タブから を作成する

必要な Entra 設定が完了したら、Amazon Quick でコネクタを作成します。

  1. Amazon Quick コンソールで、コネクタを選択します。

  2. チームの作成タブを選択します。

  3. Microsoft Teams を検索して選択します。

    注記

    Microsoft Teams コネクタが既に存在する場合は、既存のコネクタとともにダイアログが表示されます。既存のコネクタを使用するには、コネクタを選択します。新しいものを作成するには、「いいえ」を選択し、新しいものを作成します

  4. コネクタの名前を入力します。必要に応じて、 + 説明を追加 を選択して説明を追加します。

  5. Connection type で、Public network を選択します。

  6. OAuth 設定では、次のいずれかの認証方法を選択し、必須フィールドを設定します。

    1. デフォルトの OAuth アプリの場合:

      追加の認証情報は必要ありません。[次へ] を選択して続行します。

    2. カスタム OAuth アプリ (委任されたアクセス許可によるユーザー認証) の場合は、次のフィールドを設定します。

      • ベース URL (オプション) – Microsoft Graph API ベース URL。例: https://graph.microsoft.com/v1.0

      • クライアント ID – Entra アプリ登録のアプリケーション (クライアント) ID。

      • クライアントシークレット – Entra アプリ登録からのクライアントシークレット値。

      • トークン URL – トークンエンドポイント。例: https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/token

      • 認可 URL – 認可エンドポイント。例: https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/authorize

      • リダイレクト URL – Amazon Quick コールバック URL があらかじめ入力されています。

    3. Service-to-Service OAuth (アプリケーションアクセス許可によるサービス認証) の場合は、次のフィールドを設定します。

      • ベース URL (オプション) – Microsoft Graph API ベース URL。例: https://graph.microsoft.com/v1.0

      • クライアント ID – Entra アプリ登録のアプリケーション (クライアント) ID。

      • クライアントシークレット – Entra アプリ登録からのクライアントシークレット値。

      • トークン URL – トークンエンドポイント。例: https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/token

      注記

      クライアント認証情報トークンリクエスト (https://graph.microsoft.com/.default) の範囲は、Amazon Quick によって自動的に設定されます。手動で設定する必要はありません。

  7. [次へ] を選択します。

  8. デフォルトの OAuth アプリまたはカスタム OAuth アプリを選択した場合、Microsoft 認可ウィンドウが開きます。リクエストされたアクセス許可を確認し、Accept を選択します。

    同意ダイアログの代わりにエラーが表示された場合、組織はサードパーティーアプリへのアクセスを制限する可能性があります。「Microsoft 365 に対する管理者の同意」を参照してください。

  9. レビューページで、コネクタで使用可能なアクションを確認します。[次へ] を選択します。

  10. 公開ページで、コネクタにアクセスできるユーザーを選択します。組織内のすべてのユーザーに対してアクセスを有効にしたり、特定のチームやグループを検索したりできます。

  11. [公開] を選択します。

使用可能なアクション

統合を設定すると、次のアクションを使用できます。

Microsoft Teams で使用可能なアクション
Category [アクション] 説明
チャット チャットを一覧表示する チャットの会話を表示します。
チャット チャットの作成 新しいチャット会話を開始します。
チャット チャットメッセージを送信する チャットでメッセージを送信します。
チーム チームのリスト メンバーになっているチームを表示します。
チーム チームメンバーを一覧表示する チームのメンバーを表示します。
チーム チームメンバーを追加する メンバーをチームに追加します。
チャンネル チャネルを一覧表示する チーム内のチャネルを表示します。
チャンネル チャネルの作成 チーム内に新しいチャネルを作成します。
チャンネル チャネルメッセージを一覧表示する チャネル内のメッセージを表示します。
チャンネル チャネルメッセージを送信する メッセージをチャネルに投稿します。
チャンネル チャネルメンバーを一覧表示する チャネルのメンバーを表示します。
チャンネル チャネルメンバーの追加 チャネルにメンバーを追加します。
[ユーザー] ユーザーのリストを取得する 組織内のユーザーを表示します。
会議 オンライン会議を一覧表示する スケジュールされたオンライン会議を表示します。
会議 オンライン会議の作成 新しいオンライン会議をスケジュールします。
会議 会議のトランスクリプトを一覧表示する 会議からのトランスクリプトを表示します。
カレンダー カレンダーイベントを一覧表示する カレンダーでイベントを表示します。
カレンダー カレンダーイベントの作成 新しいカレンダーイベントを作成します。

の管理とトラブルシューティング

統合を編集、共有、または削除するには、「」を参照してください既存の統合の管理

認証問題

  • アプリ登録が正しくない – Microsoft Entra のアプリ登録に必要な API アクセス許可が含まれ、管理者の同意が付与されていることを確認します。

  • 期限切れのクライアントシークレット – 証明書とシークレットでクライアントシークレットの有効期限が切れているかどうかを確認し、必要に応じて新しいシークレットを生成します。

  • リダイレクト URI が正しくない — Microsoft Entra のリダイレクト URI が と一致することを確認しますhttps://{region}.quicksight.aws.amazon.com/sn/oauthcallback

一般的なエラーメッセージ

  • Access denied. You do not have permission to perform this action – 認証されたユーザーに必要なアクセス許可がありません。管理者に連絡して、適切なアクセス許可を確認して付与してください。

  • AADSTS50020: User account from identity provider does not exist in tenant – ユーザーアカウントが正しい Microsoft Entra テナントで設定されていません。アプリ登録のディレクトリ (テナント) ID に一致するユーザーアカウントがテナントに存在することを確認します。

デフォルトの OAuth アプリ認証方法を使用する場合、Amazon Quick は AWSマネージドアプリケーションを使用して、サインインしたユーザーに代わって Microsoft Teams にアクセスします。ほとんどのユーザーは、追加の手順なしでセットアップを完了できます。ただし、Microsoft 365 テナントがサードパーティーアプリへのアクセスを制限する場合、Microsoft 365 管理者はユーザーが接続する前に 1 回限りの同意を付与する必要があります。

コネクタのセットアップ中にサインインしたときにエラーが発生した場合、組織はサードパーティーのアプリへのアクセスを制限する可能性があります。次の情報を Microsoft 365 管理者と共有します。

  • 対処方法: Amazon Quick Microsoft Teams 統合アプリケーションに対する管理者の同意を付与します。

  • 理由: Amazon Quick では、ユーザーに代わってアクションを実行するために、Teams チャネル、チャット、会議、カレンダーデータへの委任されたアクセスが必要です。

管理者は、次のいずれかの方法で同意を付与できます。

  • 同意ダイアログ – グローバル管理者または特権ロール管理者がコネクタのセットアップフローを開始します。Microsoft サインインダイアログで、組織に代わって同意チェックボックスを選択し、承諾を選択します。

  • Microsoft Entra 管理センター経由 – Microsoft ウェブサイトの Microsoft Entra 管理センターにサインインします。エンタープライズアプリケーションを選択し、Amazon Quick アプリケーションを見つけ、アクセス許可を選択し、組織の管理者同意を付与を選択します

同意が付与されると、組織内のユーザーは、個々の同意を求めることなく接続できます。

注記

テナントがユーザーの同意を制限するかどうかを確認するには、Microsoft Entra 管理センターに移動し、エンタープライズアプリケーション同意とアクセス許可ユーザー同意設定を選択します。設定が ユーザーの同意を許可しない場合、管理者はユーザーがコネクタを使用する前に同意を付与する必要があります。